关键信息基础设施(以下简称CII)安全保护标准体系主要用于明确CII安全保护的标准化需求、环节和范围,指导国家CII安全保护标准体系建设。因此,CII安全保护标准体系设计应关注以下几个方面:

1.结合国家安全标准现状,突出关键信息基础设施安全保护特点。根据《网络安全法》,CII安全保护以等级保护为基础,且CII一般由一至多个等级保护定级系统构成,所以CII安全保护标准体系应在等级保护标准基础上构建。因此,等级保护系列标准、已立项的保护技术标准等作为支撑标准纳入标准体系。

2.标准应支撑CII安全保护管理工作。《网络安全法》、《关键信息基础设施安全保护条例》以及《公安部关于印送〈贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见〉的函》(公网安〔2020〕1960号)等法律法规中提出的各项保护工作应有相应标准予以支撑。因此,识别认定、检测评估、监测预警、应急处置、威胁管控等各项核心工作均应设立相应指导标准。

3.CII系列标准应形成体系。各CII标准应有明确的定位,不同标准之间内在的关联关系需清晰明确,标准内容之间应协调一致。

一、关键信息基础设施安全保护标准体系架构

根据上述设计思路,CII安全保护标准按照标准定位可分为重要标准、支撑标准以及特殊领域标准,按照标准应用的CII保护工作环节划分可分为识别认定类、安全保护类、检测评估类、监测预警类、主动防御类和事件响应处置类等标准。具体见图1关键信息基础设施安全标准体系框架。其中橙色模块为已发布的国家标准,绿色模块标准为已立项尚未发布的国家标准,蓝色模块为未立项标准。

图1 关键信息基础设施安全标准体系图

重要标准为开展CII安全保护相关工作所急需的必要标准,支撑标准为CII保护需参照的非针对CII提出的标准,特殊领域标准为根据特定领域CII的特点而定制的标准。

◆ 识别认定类标准包括关键信息基础设施要素识别指南、重要数据识别以及网络数据分类分级等,用于识别CII保护的关键资产;

◆ 安全保护类标准包括安全保护要求、控制措施、供应链安全、个人信息安全、特殊领域保护要求、人员及服务机构、产品、运维安全、风险管理等等;

◆ 检测评估类标准包括测评要求、检查评估指南、保障指标体系、防护能力评价方法、风险评估指南、个人信息出境评估指南等等;

◆ 监测预警类标准可包括安全预警指南、安全信息共享指南、信息报送与态势研判指南、威胁信息接口要求、监测服务指南等;

◆ 事件处置类标准可包括事件报告与处置指南、安全应急演练指南、应急响应计划等。

另外,各行业领域保护工作部门可在上述各环节通用标准基础上,牵头组织制定本领域的相关标准或工作指引。

二、 重要标准定位

1.识别认定类标准

识别认定类标准用于指导对CII的关键业务及资产、依赖关系等进行识别。

1) 关键信息基础设施要素识别指南

标准定位:该标准用于CII确定之后,指导运营者划定CII的重点保护范围、确定关键资产、涉及多责任方的保护责任识别等。

使用范围:关键信息基础设施运营者。

与其他标准关系

——与《CII安全保护要求》:本标准可用于指导保护工作部门及运营者落实《CII安全保护要求》中分析识别环节的工作。

——与《CII安全测评要求》:本标准可用于指导评估机构对被评估CII的业务、业务链以及资产的分析识别工作。

2.安全保护类标准

安全保护类标准分为适用于所有CII的标准以及适用于特殊行业领域CII的标准。通用性的标准包括CII安全保护要求、CII安全控制措施、CII安全从业人员要求、CII安全服务机构要求、供应链安全管理要求、CII安全运维要求等,各行业标准为根据CII的技术特性、系统特点等编制的特殊保护要求标准。

1) 关键信息基础设施安全保护要求

标准定位:为通用性的保护指导标准,规定CII在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求,是各CII开展安全保护工作时,需在等级保护要求基础上增强的最低要求。

使用范围:关键信息基础设施保护工作部门及运营者。

与其他标准关系

——与GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求:在GB/T 22239第三级安全通用要求基础上的增强要求,不重复第三级安全通用要求。

——与《CII安全控制措施》:《CII安全控制措施》依据本标准中各要求项提出落地措施。

——与《CII安全测评要求》:《CII安全测评要求》给出本标准中提出的各要求项的具体测评方法。

2) 关键信息基础设施安全控制措施

标准定位:为《CII安全保护要求》提出的各项要求提供实施落地指导,该标准内容力求全面,针对《CII安全保护要求》的每一项安全要求,力争写出不同实现强度的安全控制措施,供CII保护工作部门及运营者在落地实施时选择参考。

使用范围:关键信息基础设施保护工作部门及运营者。

与其他标准关系:与《CII安全保护要求》关系见“1)关键信息基础设施安全保护要求”部分。

3.检测评估类标准

检测评估类标准包括对CII的保护状况评估、安全保护能力评估以及评估机构要求等方面。涉及到的标准包括安全测评要求、测评过程指南、检查评估指南、防护能力评价方法、保障指标体系等。

1) 关键信息基础设施安全测评要求

标准定位:该标准与《CII安全保护要求》为姊妹篇,定位类似于GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求,从第三方评估机构开展安全评估的角度,而非监管部门的安全检查角度,提出相应的安全评估方法。针对《CII安全保护要求》的各项要求内容,描述对应的测评方法。

使用范围:关键信息基础设施评估机构。

与其他标准关系

——与《CII安全保护要求》:对于要求条款给出测评方法。

——与《CII安全测评过程指南》:共同指导CII检测评估活动。

——与GB/T 28448:在GB/T 28448单项测评结果基础上加强测评深度,评价融合等级测评结果。

——与《信息安全风险评估方法》:风险评估思路与其保持一致。

——与《CII安全防护能力评价方法》和《CII安全检查评估指南》:作为评价防护能力及检查评估结果的输入。

2) 关键信息基础设施安全测评过程指南

标准定位:该标准与《CII安全测评要求》共同指导关键信息基础设施安全检测评估工作,定位类似于GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南,从第三方评估机构开展安全评估的角度,提出相应的安全评估过程及工作任务。

使用范围:关键信息基础设施评估机构。

与其他标准关系:与《CII安全测评要求》:共同指导CII检测评估活动。

3) 关键信息基础设施安全检查评估指南

标准定位:该标准明确CII检查评估的方法、流程和内容,用于保护工作部门开展CII安全检查评估。

使用范围:关键信息基础设施保护工作部门。

与其他标准关系:《CII安全测评要求》作为本标准测评证据的输入。

4.监测预警类标准

监测预警类标准主要用于指导运营者日常如何对CII进行监测、情报评估以及信息共享等,包括安全监测预计要求、网络安全预警指南、网络安全信息共享指南、网络安全信息报送与态势研判指南等。

1) CII安全监测预警要求

标准定位:该标准针对CII安全监测预警工作提出规范要求,包括监测点的部署、监测数据的汇总及分析技术要求、监测数据的管理要求等等。

使用范围:关键信息基础设施运营者、监测服务机构、产品提供者。

与其他标准关系:为《CII安全保护要求》中监测预警相关要求内容的细化。

2) 关键信息基础设施安全威胁信息接口要求

标准定位:规定漏洞信息、威胁信息进行安全共享时所采用的格式、接口、索引标签要求等,在此基础上开展威胁漏洞评级。

使用范围:关键信息基础设施运营者、网络安全服务机构、其他科研机构以及有关部门。

与其他标准关系:为《网络安全信息共享指南》在关键信息基础设施保护领域的特殊要求,相同内容应保持一致。

5.主动防御类标准

主动防御类标准主要用于指导运营者落实《CII安全保护要求》中的相应条款。主要包括《关键信息基础设施主动防御技术要求》。

标准定位:该标准针对《CII安全保护要求》中的主动防御类条款,指导关键信息基础设施保护工作部门及运营者如何具体落实。

使用范围:关键信息基础设施保护工作部门、运营者、安全服务机构。

与其他标准关系:为《CII安全保护要求》中相关要求内容的细化。

6.事件处置类标准

事件处置类标准主要用于指导保护工作部门、运营者在发生安全事件时如何快速处置,包括安全事件报告与处置指南、应急演练指南、应急体系框架、信息安全应急响应计划规范等。

1) 关键信息基础设施安全事件处置要求

标准定位:该标准指导CII运营者将其运营CII可能发生的安全事件分类分级,为不同类别不同级别事件的处置奠定基础。指导CII运营者不同类别和级别的事件如何进行处置,包括何种情况向保护工作部门汇报、何种情况向国家相关管理部门汇报等等。

使用范围:关键信息基础设施运营者。

与其他标准关系:

——基于已有国标《GB/Z 20986-2007信息安全事件分类分级指南》,着眼在CII面临的安全事件。

——与《网络安全预警指南》中的报送内容及方式保持一致。

2) 关键信息基础设施安全应急演练指南

标准定位:该标准规范CII的应急演练,尤其是跨部门、跨单位、跨行业的演练指导。

使用范围:关键信息基础设施保护主管部门、保护工作部门、运营者。

与其他标准关系:该标准应在《网络安全事件应急演练通用指南》的基础上提出关键信息基础设施的应急演练相关内容,包括机构组织、工作方案、脚本、流程、评估方案、保障措施等演练方案内容等,尤其应加强跨部门、跨单位、跨行业的演练指导内容。

标准体系完善是一个长期持续的过程,随着关键信息基础设施保护周边状况变化,以及主管部门管理工作的需要,需不断完善更新。

作者:公安部第三研究所评估中心 咨询部副主任 袁静

声明:本文来自公安部网络安全等级保护中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。